近日，市教育城域網(wǎng)改造，將原有的VPN模式改為裸光纖模式，每個(gè)學(xué)校新增一臺(tái)銳捷路由器和深信服防火墻。原有的光纖貓更換為光模塊直連。電信工程師根據(jù)他們擬定的改造計(jì)劃配置設(shè)備，發(fā)現(xiàn)故障不斷，經(jīng)過(guò)大家共同多次調(diào)試，最終發(fā)現(xiàn)原來(lái)是電信設(shè)計(jì)的IP配置問題，后來(lái)根據(jù)銳捷的規(guī)范，問題得以順利解決。

圖1 原有校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 教育局規(guī)劃的拓?fù)浣Y(jié)構(gòu)

電信工程師到我校直接按照他們?cè)O(shè)計(jì)的參數(shù)進(jìn)行配置。首先給大家介紹下我校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。學(xué)校原有網(wǎng)絡(luò)拓?fù)涫?，網(wǎng)關(guān)銳捷EG-1000S，外網(wǎng)口10.20.80.122/28，內(nèi)網(wǎng)口1.1.1.2/24。核心RG-8606，地址 1.1.1.1/24，劃分VLAN64～ VLAN75，VLAN地址分別為10.21.64.254……10.21.5.254，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

故障現(xiàn)象

工程師根據(jù)設(shè)計(jì)方案，將路由器外網(wǎng)口配置為10.20.80.122/28，內(nèi)網(wǎng)口 10.21.79.254/24。網(wǎng)關(guān)外網(wǎng)口配置為10.21.79.253/24，內(nèi)網(wǎng) 口保持1.1.1.2不變，拓?fù)浣Y(jié)構(gòu)如圖2。把網(wǎng)線插上，發(fā)現(xiàn)當(dāng)配置線插上網(wǎng)關(guān)Control口登錄時(shí)，筆記本終端明顯反應(yīng)卡頓，屏幕命令行每隔一段時(shí)間連續(xù)跳出no radius的提示，給配置帶來(lái)很大的干擾。但是在配置終端測(cè)試連接是正常的，從網(wǎng)關(guān)到路由器是通的，從核心到網(wǎng)關(guān)也是通的，內(nèi)網(wǎng)用戶到核心是通的，網(wǎng)頁(yè)卻打不開。再經(jīng)過(guò)測(cè)試，從客戶端到網(wǎng)關(guān)不通，從核心到路由器不通。工程師開始搞不懂，表示從未遇到過(guò)這種現(xiàn)象，抱怨銳捷的設(shè)備問題。

故障排查

仔細(xì)研究他們的設(shè)計(jì)方案，我想起今年5月份一起配置VPN的經(jīng)歷，當(dāng)時(shí)由于校領(lǐng)導(dǎo)想通過(guò)登錄校內(nèi)網(wǎng)，連接教育局的辦公系統(tǒng)，嘗試開啟網(wǎng)關(guān)RG-1000S的SSLVPN功能，配置隧道地址10.21.64.8，因 為 10.21.64.8是城域網(wǎng)公網(wǎng)地址的映射，開啟SSLVPN，這時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)用戶不能上網(wǎng)了，客戶端與核心RG-8606通訊正常，與RG-1000S不通。仔細(xì)分析網(wǎng)絡(luò)拓?fù)?，發(fā)現(xiàn)邏輯上沒有問題。于是用設(shè)備RG1000S Control口登錄，將SSLVPN關(guān)閉，去掉10.21.64.8隧道地址，這時(shí)候網(wǎng)絡(luò)一切正常。

沒辦法，致電銳捷客服，技術(shù)支持解釋網(wǎng)關(guān)不可以用內(nèi)網(wǎng)地址，如果要用VPN需要增設(shè)一臺(tái)VPN設(shè)備放在內(nèi)網(wǎng)。當(dāng)時(shí)也是愕然，銳捷設(shè)備還有這個(gè)規(guī)則。當(dāng)時(shí)覺得不劃算，就直接在Windows 2008下面做了VPN?；叵脒@件事情，今天的問題應(yīng)該也在這兒。

圖3 完工后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

內(nèi)網(wǎng)地址不可以出現(xiàn)在網(wǎng)關(guān)中，應(yīng)該也不可以出現(xiàn)在網(wǎng)關(guān)的上一層。于是建議現(xiàn)場(chǎng)工程師重新配置，現(xiàn)場(chǎng)工程師致電銳捷技術(shù)支持，銳捷工程師了解情況后，讓現(xiàn)場(chǎng)工程師拿掉路由器，似乎銳捷工程師也不愿解釋，現(xiàn)場(chǎng)工程師表示很無(wú)奈?，F(xiàn)場(chǎng)工程師將路由器光模塊插到網(wǎng)關(guān)1F光模塊插槽，發(fā)現(xiàn)光模塊燈不亮，懷疑該接口為光電復(fù)用接口。再次致電銳捷技術(shù)，解釋光口1F和g0/1是光電復(fù)用口?？墒?，當(dāng)前g0/1配的地址是1.1.1.2/24，無(wú)奈將1.1.1.2/24配到g0/3口，g0/1接口模式設(shè)置為光口?，F(xiàn)在地址配置好了，測(cè)試發(fā)現(xiàn)網(wǎng)絡(luò)還是不通。

故障解決

仔細(xì)查看，發(fā)現(xiàn)網(wǎng)關(guān)的路由表后面跟著接口地址默認(rèn)路由0.0.0.0 0.0.0.0 1.1.1.2 后面跟著一個(gè)接口地址 GigabitEthernet 0/1，于是將GigabitEthernet0/1更改為 GigabitEthernet0/3，測(cè) 試結(jié)構(gòu)還是不通。我猜想接口估計(jì)有inside和outside配置的，于是配置發(fā)現(xiàn)果真有，將接口GigabitEthernet 0/3設(shè)為內(nèi)網(wǎng)口inside，接口GigabitEthernet 0/1設(shè)為Outside。經(jīng)過(guò)測(cè)試，內(nèi)部用戶還是不能上網(wǎng)。難道還有哪里出了問題。再次檢查配置，發(fā)現(xiàn)GigabitEthernet 0/3接口模式還是Outside，很不解，明明設(shè)置好了且保存了呀。再修改，保存，用內(nèi)網(wǎng)用戶測(cè)試，終于好了。

經(jīng)驗(yàn)總結(jié)

到這里，大家都沒有成功后的喜悅，感覺本來(lái)應(yīng)該是很簡(jiǎn)單的工作，但操作完很辛苦。工程師感嘆今天真的學(xué)了很多銳捷的知識(shí)。通過(guò)這件事情，我想并不是這位工程師的水平不夠高，可能他對(duì)銳捷的設(shè)備接觸的比較少，銳捷設(shè)備的通用性上面還是有缺陷，是多一份經(jīng)歷多一份經(jīng)驗(yàn)罷了。銳捷設(shè)備憑借較高的服務(wù)質(zhì)量，在教育部門的占有量越來(lái)越多，作為教育部門的工程師要多了解身邊設(shè)備的特性與短板。也希望銳捷在做好服務(wù)的同時(shí)，在產(chǎn)品通用性上多下下功夫，相信可以在一定程度減輕工程師的工作量。圖3是完工后的網(wǎng)絡(luò)拓?fù)鋱D。